文档介绍:ACL原理和配置
靳伟
DCN技术支持部
ACL原理和配置� -适用于DCS-3926S,5526S,5512GC
配置任务列表:
创建一个命名标准IP 访问列表(最后隐含默认是允许):
配置包过滤功能:
(1)全局打开包过滤功能
(2)配置默认动作(default action)
essl-list 绑定到特定端口的特定方向;
ACL原理和配置� -适用于DCS-3926S,5526S,5512GC
vlan 2
vlan 3
vlan 4
禁止VLAN2的ICMP数据报通过,并过滤掉某些端口
ACL原理和配置� -适用于DCS-3926S,5526S,5512GC
ACL配置实例:
Vlan 2
vlan 2
!
Vlan 3
vlan 3
!
Vlan 4
vlan 4
!
ip access-list extended test1
deny icmp
permit tcp d-port 80
permit tcp d-port 53
permit udp d-port 53
ACL原理和配置� -适用于DCS-3926S,5526S,5512GC
firewall enable
!
Interface 0/0/2
ip access-group test1 in
switchport access vlan 2
Interface 0/0/3
switchport access vlan 2
Interface 0/0/4
switchport access vlan 3
Interface 0/0/5
switchport access vlan 3
Interface 0/0/6
switchport access vlan 4
Interface 0/0/7
switchport access vlan 4
命令:firewall { enable | disable}
功能:允许防火墙起作用或禁止防火墙起作用。
参数:enable 表示允许防火墙起作用;disable 表示禁止防火墙起作用。
缺省情况:缺省为防火墙不起作用。
命令模式:全局配置模式
使用指南:
在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有ACL。
ACL原理和配置� -适用于DCS-3926S,5526S,5512GC
命令解释:
命令:firewall default {permit | deny}
功能:设置防火墙默认动作。
参数: permit 表示允许数据包通过;deny 表示拒绝数据包通过。
命令模式:全局配置模式
缺省情况:缺省动作为permit。
使用指南:此命令只影响端口入口方向的IP 包,其余情况下数据包均可通过交换机
ACL原理和配置� -适用于DCRS-7200、7600
访问控制列表(ACL)是一种QoS 策略,用来控制交换机或路由器端口对于数据包的允许或拒绝。访问控制列表实际上是过滤列表,数据的类型使用策略条件定义(policy condition),策略行为(policy action)则决定允许或拒绝。
总体来说有3 类访问控制列表:
Layer 2 ACLs:用来过滤MAC 层数据;
Layer 3/4 ACLs:用来过滤网路层数据;
Multicast ACL:用来过滤IGMP 数据。
ACL原理和配置� -适用于DCRS-7200、7600
访问控制列表参数:
最大的策略规则数量2048
最大的策略条件(policy condition)数量2048
最大的策略行为(policy action)数量2048
最大的策略服务(policy service)数量256
最大的组(网络,MAC,服务,端口)数量1024
最大的组条目数量每组512
最大的流数量64000
ACL原理和配置� -适用于DCRS-7200、7600
访问控制列表默认配置
属性命令默认取值
Global桥接配置 qos default bridged disposition accept
Global路由配置 qos default routed disp